Aangepaste regels voor Application Gateway WAF v2 maken

Met snelheidsbeperking kunt u abnormaal hoge niveaus van verkeer detecteren en blokkeren dat is bestemd voor uw toepassing. Snelheidsbeperking werkt door alle verkeer te tellen dat overeenkomt met de geconfigureerde frequentielimietregel en door de geconfigureerde actie uit te voeren voor verkeer dat overeenkomt met die regel die de geconfigureerde drempelwaarde overschrijdt. Zie het overzicht van snelheidsbeperking voor meer informatie.

Aangepaste regels voor frequentielimiet configureren

Gebruik de volgende informatie om frequentielimietregels voor Application Gateway WAFv2 te configureren.

Scenario 1 : maak een regel om verkeer te beperken per client-IP die de geconfigureerde drempelwaarde overschrijdt, die overeenkomt met al het verkeer.

Portal

1. Een bestaand WAF-beleid voor Application Gateway openen
2. Aangepaste regels selecteren
3. Aangepaste regel toevoegen
4. Naam toevoegen voor de aangepaste regel
5. Selecteer het keuzerondje Regeltype frequentielimiet
6. Voer een prioriteit voor de regel in
7. Kies 1 minuut voor duur van frequentielimiet
8. Voer 200 in voor drempelwaarde voor frequentielimiet (aanvragen)
9. Clientadres selecteren voor groepssnelheidslimietverkeer op
10. Kies onder Voorwaarden het IP-adres voor type overeenkomst
11. Selecteer voor Bewerking het keuzerondje Bevat geen keuzerondje
12. Voer voor overeenkomstvoorwaarde onder IP-adres of bereik 255.255.255.255/32 in
13. Laat de actie-instelling op Verkeer weigeren staan
14. Selecteer Toevoegen om de aangepaste regel toe te voegen aan het beleid
15. Selecteer Opslaan om de configuratie op te slaan en de aangepaste regel actief te maken voor het WAF-beleid.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator IPMatch -MatchValue 255.255.255.255/32 -NegationCondition $True      
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName ClientAddr      
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name ClientIPRateLimitRule -Priority 90 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name ClientIPRateLimitRule --priority 90 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"ClientAddr"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator IPMatch --policy-name ExamplePolicy --name ClientIPRateLimitRule --resource-group ExampleRG --value 255.255.255.255/32 --negate true

Scenario 2: aangepaste regel voor frequentielimiet maken zodat deze overeenkomt met al het verkeer, met uitzondering van verkeer dat afkomstig is van de Verenigde Staten. Verkeer wordt gegroepeerd, geteld en beperkt op basis van de GeoLocation van het IP-adres van de clientbron

Portal

1. Een bestaand WAF-beleid voor Application Gateway openen
2. Aangepaste regels selecteren
3. Aangepaste regel toevoegen
4. Naam toevoegen voor de aangepaste regel
5. Selecteer het keuzerondje Regeltype frequentielimiet
6. Voer een prioriteit voor de regel in
7. Kies 1 minuut voor duur van frequentielimiet
8. Voer 500 in voor drempelwaarde voor frequentielimiet (aanvragen)
9. Geografische locatie selecteren voor groepssnelheidslimietverkeer op
10. Kies onder Voorwaarden de geografische locatie voor het overeenkomsttype
11. Selecteer RemoteAddr voor overeenkomstvariabele in de sectie Match-variabelen
12. Het keuzerondje Is niet selecteren voor bewerking
13. Selecteer Verenigde Staten voor land/regio
14. Laat de actie-instelling op Verkeer weigeren staan
15. Selecteer Toevoegen om de aangepaste regel toe te voegen aan het beleid
16. Selecteer Opslaan om de configuratie op te slaan en de aangepaste regel actief te maken voor het WAF-beleid.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr 
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $True
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName GeoLocation 
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRateLimitRule -Priority 95 -RateLimitDuration OneMin -RateLimitThreshold 500 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled  

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name GeoRateLimitRule --priority 95 --rule-type RateLimitRule --rate-limit-threshold 500 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"GeoLocation"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RemoteAddr --operator GeoMatch --policy-name ExamplePolicy --name GeoRateLimitRule --resource-group ExampleRG --value US --negate true

Scenario Drie : aangepaste regel voor frequentielimiet maken die overeenkomt met al het verkeer voor de aanmeldingspagina en met behulp van de variabele GroupBy None. Hiermee wordt al het verkeer gegroepeerd en geteld dat overeenkomt met de regel als één, en wordt de actie toegepast op al het verkeer dat overeenkomt met de regel (/login).

Portal

1. Een bestaand WAF-beleid voor Application Gateway openen
2. Aangepaste regels selecteren
3. Aangepaste regel toevoegen
4. Naam toevoegen voor de aangepaste regel
5. Selecteer het keuzerondje Regeltype frequentielimiet
6. Voer een prioriteit voor de regel in
7. Kies 1 minuut voor duur van frequentielimiet
8. Voer 100 in voor drempelwaarde voor frequentielimiet (aanvragen)
9. Selecteer Geen voor groepssnelheidslimietverkeer op
10. Kies onder Voorwaarden tekenreeks voor overeenkomsttype
11. Selecteer in de sectie Match variables de optie RequestUri for Match variable
12. Het keuzerondje Is niet selecteren voor bewerking
13. Voor operatorselectie bevat
14. Voer het aanmeldingspaginapad in voor overeenkomende waarde. In dit voorbeeld gebruiken we /login
15. Laat de actie-instelling op Verkeer weigeren staan
16. Selecteer Toevoegen om de aangepaste regel toe te voegen aan het beleid
17. Selecteer Opslaan om de configuratie op te slaan en de aangepaste regel actief te maken voor het WAF-beleid.

PowerShell

$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri  
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator Contains -MatchValue "/login" -NegationCondition $True  
$groupByVariable = New-AzApplicationGatewayFirewallCustomRuleGroupByVariable -VariableName None       
$groupByUserSession = New-AzApplicationGatewayFirewallCustomRuleGroupByUserSession -GroupByVariable $groupByVariable 
$ratelimitrule = New-AzApplicationGatewayFirewallCustomRule -Name LoginRateLimitRule -Priority 99 -RateLimitDuration OneMin -RateLimitThreshold 100 -RuleType RateLimitRule -MatchCondition $condition -GroupByUserSession $groupByUserSession -Action Block -State Enabled 

CLI

az network application-gateway waf-policy custom-rule create --policy-name ExamplePolicy --resource-group ExampleRG --action Block --name LoginRateLimitRule --priority 99 --rule-type RateLimitRule --rate-limit-threshold 100 --group-by-user-session '[{'"groupByVariables"':[{'"variableName"':'"None"'}]}]'
az network application-gateway waf-policy custom-rule match-condition add --match-variables RequestUri --operator Contains --policy-name ExamplePolicy --name LoginRateLimitRule --resource-group ExampleRG --value '/login'

Volgende stappen

Regels voor Web Application Firewall aanpassen